Как могли взломать СДЭК. Уроки, которые нужно усвоить каждому05.06.2024 16:45

486df15271e5a9705b81ebf661451609.jpeg

4 июня СДЭК предварительно подтвердил, что сбой в его работе связан с внешним воздействием. 6 июня совет директоров компании соберется, чтобы обсудить данные внутреннего расследования. 

Желаем ИТ-команде СДЭК скорейшего восстановления работы в полном объеме. 

Официальные итоги расследования мы узнаем еще не скоро, если их вообще опубликуют.  Но когда происходит публичный инцидент таких масштабов — обсуждения неизбежны. Важно не превращать их в бестолковый хайп и не надевать белое пальто — мол если бы они сделали то-то и то-то — такого бы не было. 

Нужно делать правильные выводы из ситуации и уже сейчас подумать, а что мы можем сделать для того, чтобы уменьшить вероятность таких инцидентов в наших компаниях. 

Именно этому и посвящен наш текст.

Статистика по отрасли и наш опыт в практической безопасности позволяют предполагать, что если это был взлом — он произошел по одному из двух сценариев. 

Первый возможный сценарий взлома — фишинг

Хакеры из группировки Head Mare утверждают, что взломали СДЭК через программу-шифровальщика. Но как этот шифровальщик попал в компанию?  

По статистике, первичный доступ к инфраструктуре злоумышленники чаще всего получают через фишинговые письма. 

В исследовании F.A. C.C.T. «Киберпреступность в России и СНГ. Тренды, аналитика, прогнозы 2023–2024» различные виды фишинга используются в 82% инцидентов.

Как происходит типичная фишинговая атака:

  1. Кому-то из сотрудников или руководства компании приходит письмо с темой, которая должна максимально их заинтересовать. 

    В случае со СДЭКом это могло быть письмо с вопросом «Где моя посылка?!», коммерческим предложением и другими темами, связанными с логистикой. Главное для мошенников — надавить на эмоции, заставить сотрудника действовать быстро и необдуманно. 

Пример имитированной фишинговой атаки из базы Start AWR для компании, которая занимается логистикой

Пример имитированной фишинговой атаки из базы Start AWR для компании, которая занимается логистикой

  1. Сотрудник триггерится на эмоции или срочность, нажимает на вложение. Вредоносные файлы могут спрятать в обычный док в формате pdf или docx или разместить по ссылке в письме (и нет, сразу их там не будет, чтобы ваши средства защиты ничего не заподозрили).

  2. Шифровальщик запускается, хакеры получают удаленный доступ к компьютеру сотрудника.

  3. Дальше в зависимости от доступа сотрудника хакеры или повышают привилегии и двигаются по сети или сразу попадают в компьютер администратора с достаточным уровнем привилегий и доступом к виртуальным машинам и системам хранения данных. 

Вот как это выглядит в виде схемы:

Заражение произошло из-за того, что человек совершил опасное действие. Если бы он этого не сделал — не было бы и инцидента

Заражение произошло из-за того, что человек совершил опасное действие. Если бы он этого не сделал — не было бы и инцидента

Как защититься от фишинговых атак. Мы специально взяли один из самых сложных вариантов фишингового письма — с вложением в формате pdf. Вроде бы переходить по ссылкам не просят, вложение выглядит как обычный документ. При этом шифровальщик может доставляться даже через такие документы.

В письмах важно смотреть не только на вложение или потенциально опасную ссылку. Вот алгоритм действий:

  1. Научитесь обращать внимание на эмоции, которые вызывает у вас письмо или сообщение в чате. Если вас торопят или пугают, очень вероятно, что это мошенники (или токсичные коллеги, но работать ли вам в такой компании — решайте сами). 

  2. В первую очередь погружаемся в контекст и проверяем, а было ли первое письмо, где у сотрудника запрашивали коммерческое предложение. Допустим, мошенники хорошо подготовились и первое письмо тоже написали.

  3. Проверяем название компании и электронный адрес, с которого пришло письмо. В нашем случае оно не совпадает — имя компании UrbanEdge Group, адрес заканчивается на urbanedge-groupp.com. Это уже явный признак фишинга.

  4. На всякий случай можно зайти на официальный сайт компании и в разделе контакты посмотреть, как заканчиваются корпоративные электронные адреса. Если это фишинг, они не совпадут.

Эти действия желательно довести до автоматизма — конечно, никто не будет каждое письмо в почте рассматривать под лупой и проверять несколькими способами. Но правда в том, что обычно достаточно заметить что-то одно, чтобы дальше развить свое сомнение и проверить адресата.

Рабочий способ привить сотрудникам привычку проверять письма только один — регулярно обучать и тренировать людей через имитированные атаки, чтобы они не открывали реальные фишинговые письма и не заражали свои системы. А при любых подозрениях — отправляли письмо команде безопасности. 

Вот еще несколько правил, чтобы имитированные атаки работали эффективно:

  • Назначайте имитированные атаки не реже, чем один раз в месяц. 

  • Используйте разные дни и время для отправки. 

  • Назначайте только новые шаблоны атак на сотрудников.

  • Выбирайте актуальные для роли и должности сценарии и анализируйте реальные атаки, чтобы не упустить важные сценарии.

  • Повышайте сложность атак в зависимости от опыта сотрудников.

Второй возможный сценарий — взлом через активы на внешней поверхности атаки

Поверхность атаки компании — это все активы компании, которые могут быть за пределами ее инфраструктуры и которые хакер может использовать для проведения атаки. 

Часто команды ИТ и безопасности под поверхностью атаки понимают известную инфраструктуру компании, так называемый периметр:

4165ff584853be279373ae1f93d651a7.png

А вот как выглядит поверхность атаки на самом деле:

53577417eff72a2cad07041106da66c9.png

В поверхность атаки входит:

Инфраструктура, в том числе та, о которой не знает ИТ и команда безопасности. Домены и поддомены, веб-сервисы, IP-адреса, SSL-сертификаты, в том числе тестовые среды и облачные хостинги. 

Пример атаки через инфраструктуру. Администратор не убрал за VPN и оставил в паблике RDP → Хакеры взяли логин и пароль сотрудника из очередной утечки → Попали в инфраструктуру.  

Рабочие сервисы, которые используют сотрудники, чтобы хранить данные или общаться:

  • Разработка — Гитхаб, Гитлаб.

  • Таск-трекеры — Трелло, Джира, Ноушен.

  • Файлообменники — Гугл Драйв, Яндекс Диск, Дропбокс.

  • Документы — Гугл-доки, Гугл-таблицы.

  • Сервисы HR — HH, Хабр Карьера.

Пример атаки через рабочий сервис. Разработчик опубликовал секреты в открытом репозитории на Гитхабе → Злоумышленник обнаружил репозиторий с секретами в процессе разведки → Получил доступ к API-ключам, паролям учетных записей, токенам аутентификации и другим данным. 

Сотрудники. Оставляют цифровой след, публикуют персональные данные клиентов и собственные учетные записи от корпоративных систем. 

Пример атаки через цифровой след сотрудника. Сотрудник использовал рабочую почту и такой же пароль для авторизации в публичном сервисе → Злоумышленник взломал сервис и украл пароли → Учетная запись сотрудника используется для первичного доступа и развития атаки на корпоративные системы и данные. 

Как вы понимаете, чем больше компания — тем больше ее поверхность атаки, потому что в ней работает больше людей и они используют больше инструментов. 

СДЭК — компания с огромной инфраструктурой, в ней работает 50 000 сотрудников. А еще у СДЭКа много подрядчиков, у которых тоже может быть доступ к инфраструктуре. 

Высока вероятность, что кто-то из сотрудников или подрядчиков своими действиями мог создать поверхность атаки, о которой не знала команда ИТ или ИБ — например, выложил в открытый доступ документ с кредами или не убрал из паблика тестовый сервис, через который могли проникнуть злоумышленники.

По данным свежего исследования IBM, в 84% инцидентов первоначальный вектор атаки с доступом в критическую инфраструктуру можно было устранить, если бы в компаниях пользовались лучшими практиками ИБ, которые начинаются с управления активами. 

Управление уязвимостями, проверка уровней защищенностей, принцип минимальных привилегий — важные практики, которые будут работать, только если хорошо работает управление активами и мы точно знаем свою поверхность атаки.

Вот еще один наглядный график — как растет количество уязвимостей, эксплойтов и уязвимостей нулевого дня с 1988 года:

Источник: IBM X-Force Threat Intelligence Index 2024

На графике видно, чтоколичество уязвимостей растет практически по экспоненте, и забытый актив через короткое время почти всегда становится уязвимым.

Как защититься от таких атак. Тут короткой рекомендацией не обойтись, попробуем собрать базовую инструкцию:

  1. Сначала нужно собрать в одном месте все технические и человеческие активы компании. Буквально по списку — вот у нас есть Гитхаб, у X сотрудников есть к нему доступ и так далее. 

  2. Дальше проводим инвентаризацию — вся ли информация актуальна, кто уволился, есть ли у нас инструкции, как работать с гугл-доками и прочими публичным сервисами.

  3. Назначаем сотрудников, ответственных за конкретные активы — тимлид Паша отвечает за Гитхаб, менеджер Вася за Яндекс Диск и так далее. Эти сотрудники следят за доступами и исправляют проблемы по рекомендациям команды ИБ.

  4. Специалист по ИБ мониторит изменения и закрывает потенциальные дыры на всей поверхности атаки. 

Когда компания маленькая — можно делать это вручную.

Но если у вас большая компания, много активов и есть подрядчики — вы сами можете не знать, из чего состоит полная поверхность атаки. 

В этом случае нужна автоматизация через специальные SaaS-решения. Например, Start EASM помогает управлять поверхностью атаки — собирает информацию об угрозах на внешней поверхности, определяет причину их возникновения и небезопасные действия людей, мониторит изменения, формирует отчеты и контролирует устранение уязвимостей. 

Последствия

Вот как отразилась хакерская атака на СДЭКе:  

Ущерб от простоя. Эксперты оценивают его от 300 миллионов до 1 миллиарда рублей.

Потеря в оценке стоимости компании. В конце апреля в СМИ появились новости, что основатель СДЭК Леонид Гольдорт ведет переговоры о продаже своей доли — ему принадлежит 55% акций. Из-за крупного сбоя стоимость компании, скорее всего, снизится. 

Репутационные потери. Ежедневно через СДЭК совершали более 400 000 отправлений — из-за блокировки работы компании получатели не могли получить ценные документы, лекарства и другие важные вещи. Этот сбой отразился на жизни многих людей. 

Лицензия на продукт для обучения и тренировки сотрудников в такой компании, как СДЭК, может стоить порядка 3 миллионов рублей. Лицензия на автоматизированную систему для слежения за внешней поверхностью атак — 800 тысяч рублей.

Это больше чем многие крупные компании закладывают на всю ИБ в целом, но это в сотни раз меньше, чем финансовый вред от ущерба и отсутствие репутационных потерь. 

Главное

Скорее всего, СДЭК взломали через фишинг или через уязвимость на внешней поверхности атаки. В обоих способах взлома главная причина инцидента — небезопасные действия людей, сотрудников или подрядчиков. 

Чтобы снизить влияние человеческого фактора на бизнес — сотрудников нужно регулярно обучать безопасному поведению и тренировать, а за внешней поверхностью атаки внимательно следить. Исследования подтверждают, что это кратно снижает вероятность подобных инцидентов.  

Хакеры не будут тратить много времени на сложную целевую атаку через 0-day-экслойты или что-то подобное — такие атаки очень дорого стоят, и в мире их происходит меньше 3%. 

Мем в тему

Мем в тему

Если ваши сотрудники не повелись на фишинг, а на внешней поверхности не нашлось значимых проблем — хакеры просто забьют и переключатся на кого-нибудь другого. 

© Habrahabr.ru