«Неожиданный» урок: как хакерская атака чуть не привела к катастрофе и перевернула ИТ-стратегию компании

Поделюсь историей, как компания с миллиардными оборотами потеряла почти все данные, остановила работу на несколько дней и понесла большие убытки из-за очевидной лазейки в системе, которую не убрали айтишники.

«Неожиданный» урок: как хакерская атака чуть не привела к катастрофе и перевернула ИТ-стратегию компании

Добрый день! Меня зовут Кирилл Манжура, я CEO ИТ-интегратора LARD. Мы помогаем бизнесу в разных направлениях: проводим аудиты информационной безопасности, разрабатываем диджитал-продукты и сложные веб-сервисы, оказываем услуги по ИТ-аутсорсингу.

Ситуация, о которой я расскажу, произошла с крупной компанией из сферы промышленности с большим штатом сотрудников и филиалами по всей России. Несмотря на отрасль работы и масштаб деятельности, требовалась оптимизация процессов по многим направлениям, в том числе ИТ. Для начала решили провести всесторонний, ни к чему не обязывающий аудит.

Нашли лазейку, которую взломает даже школьник

Первое впечатление от ИТ-отдела сформировалось во время знакомства с ИТ-директором группы — интеллигентный человек, хорошо разбирается в сфере, знает больше меня. Команда тоже работает уверенно и спокойно. Я не ожидал крупных уязвимостей.

Реальность обстояла иначе: мы выявили недочеты, которые создавали угрозу информационной безопасности. Среди них была особенно серьезная уязвимость: почтовый сервер с устаревшей версией и ошибкой — эксплойт, который позволял получить полный контроль над сервером и по цепочке продолжить атаку на внутренние информационные системы клиента.

Обычно захватить такой доступ сложно, но в случае с этой ошибкой любой начинающий ИТ-специалист мог зайти на GitHub, скачать скрипт, ввести адрес сервера и получить доступ. Именно поэтому я был уверен в том, что скоро кто-то воспользуется этой возможностью.

Во время аудита я обратил внимание команды на проблему: уязвимость пряталась в их почтовом сервере, который не обновлялся несколько лет. Ее можно было устранить очень просто: в течение одного дня обновить систему, не останавливая работу компании. Ребята в команде удивились ошибке и сначала насторожились, получив комментарии от незнакомого человека, но из общения поняли, что я не просто аудитор, а технарь, который разбирается в вопросе и реально может помочь.

Дальше при исследовании системы я понял, что проблем в инфраструктуре много, они выходят за рамки одного дня аудита. Коллеги из других направлений также обнаружили множество недоработок. В конце дня встретились с руководством компании, каждый отчитался по своему направлению, я снова отметил выявленную угрозу безопасности, потому что через нее можно получить полный доступ ко всей системе, серверам и данным компании.

Вернувшись в офис, начал собирать отчет и рекомендации для ИТ-отдела. Дополнительно изучал, как устроена разработка ИТ-решений в компании, и обнаружил, что ее в целом нет. Сотрудники закрывают бреши, разрабатывают решения по наитию. Также мы выяснили, как устроены бэкапы и другие системы, и повторно обнаружили множество недоработок и уязвимостей. Угрозу безопасности создавали даже серверы компании — они находились прямо в офисе.

Через несколько дней отчет был готов: я обозначил текущие проблемы, которые нужно срочно исправлять, напомнил о проблеме с почтовым сервером и предложил стратегию по долгосрочному развитию направления. Рекомендовал провести полноценный аудит: в течение недели мы с коллегами могли проверить всё своим оборудованием, отсканировать и устранить проблемы. После того как я предоставил отчет, клиент пропал: новостей или обращений не было.

Потеряли почти все данные, и работа компании остановилась

Спустя два месяца рано утром слышу звонок, руководитель службы безопасности говорит, что у клиента проблема: сон как рукой сняло. Догадываюсь, о чем идет речь, не успеваю положить трубку, как звонит генеральный директор компании-клиента и просит срочно помочь: произошла хакерская атака, все данные зашифровали. Компьютеры и другие устройства не работают, все процессы в компании остановлены.

Позже выяснилось, что взломщики, вероятно, давно узнали о проблеме, ночью взломали почтовый сервер, благодаря этому получили доступ к основному и смогли контролировать всю систему. Хакеры отправили на все компьютеры команду отключить встроенный антивирус, зашифровали диски и удалили бэкапы.

Современное шифрование так устроено, что расшифровать данные практически невозможно, единственный выход — договариваться со взломщиками. Они же переоценили себя: изучили обороты компании и попросили полмиллиона долларов за расшифровку. Никто не был готов платить, потому что никогда нет гарантии, что данные действительно расшифруют. К тому же оплаты только мотивируют хакеров совершать новые атаки. Оставалось только обратиться за помощью, поэтому клиент вышел на связь со мной. Я согласился приехать и помочь решить проблему, но сразу сказал, что спасти волшебным образом не получится, потому что проблема сложная.

Когда приехал в офис, там уже собрались представители «Лаборатории Касперского», начальник местной службы безопасности, юристы. В центре стола лежал мой отчет, и начальник СБ неловко спросил, не я ли их взломал: подумали, что разозлился после того, как весной не продолжили сотрудничество, и сам совершил атаку. Вопрос не удивил: я знал, что у клиента будут опасения, поэтому сказал, что приехал помогать, и без доверия ничего не выйдет.

Интересно, что в то же время специалисты «Лаборатории Касперского» смогли узнать IP-адреса хакеров, и один из них оказался из моего родного города. Номера не совпали, но ситуация вышла напряженная.

Начали разбираться: пошел к айтишникам, а перед ними уже очередь из сотрудников с вилами и факелами, потому что ничего не работает. Ребята не знают, что делать: сервера выключили, а дальше что-либо предпринимать боятся. Не работали никакие системы — ни почта, ни компьютеры, даже корпоративные телефоны не функционировали. Зашифровалось абсолютно все.

В результате выявили две срочные проблемы:

  • никто не может работать из-за неисправности техники;
  • недоступны все данные: базы клиентов, сделок и договоров, списки сотрудников и другие документы.

В первую очередь стали решать эти проблемы, а позже выяснили, что не все данные зашифрованы, и смогли восстановить информацию.

Спасли 1С благодаря одному серверу

Процесс восстановления данных усложнило то, что были удалены даже бэкапы. Обычно они размещаются на отдельных серверах с различными доступами, также есть «бэкап судного дня» — офлайн-бэкап на диске в сейфе, дома или еще где-либо вне сети. В нашем случае они были в общей системе, поэтому хакеры получили доступ и удалили всю сохраненную информацию.

Пришлось создавать систему с нуля. Благодаря нашим партнерам среди облачных провайдеров мы смогли быстро развернуть почтовый сервис. Далее за день запустили необходимый минимум: почту, телефонию, 1C — система была пуста, но сотрудники могли формировать счета и загружать информацию о контрагентах.

Вечером мы обнаружили, что один из серверов в кластере 1С не зашифрован, то есть осталась база данных, которую мы можем восстановить. Вернули клиентскую, бухгалтерскую, кадровую базы и все сохраненные документы. В результате к концу второго дня связали восстановленную информацию с облачной инфраструктурой, и всё понемногу начало работать. Однако за время простоя компания понесла большие убытки.

Я стал узнавать, почему сотрудники не исправили проблему с почтовым сервером раньше. Оказалось, что с 2022 года было запрещено устанавливать обновления. Чтобы принять решение, ждали полноценный отчет — было много аргументов, но никаких убедительных и весомых. Другие варианты решения этой критической уязвимости тоже никто не искал. Команде нужно было потратить один рабочий день, чтобы исправить проблему. В результате компания два дня полностью не работала, а потом долго разбиралась с последствиями.

Забрали серверы из офиса и создали безопасную инфраструктуру в ЦОД

Спустя несколько дней, когда кризис миновал, я уехал в офис, но оставался на связи и помогал отделу. Через неделю подготовил и отправил варианты долгосрочного решения проблемы: размещение серверов компании в дата-центре, облаке и другие. Выбрали ЦОД, в это же время ИТ-директор понял, что его дальнейшая работа в компании невозможна, и уволился. ИТ-отдел начал разваливаться, поэтому на время восстановления и запуска новой инфраструктуры мы поставили управленца, который помог сохранить целостность, наладить процессы и внедрить service desk — систему, которая аккумулирует и обрабатывает все сообщения от сотрудников о технических проблемах.

Около месяца готовились к переезду в ЦОД: закупали новые серверы, сетевое оборудование, разработали полноценную схему, как будет работать новая инфраструктура. К началу сентября всё было доставлено, наша команда собрала кластер, протестировала в офисе и увезла в ЦОД. Мы установили всё там, еще раз проверили и в течение следующей недели мигрировали из облаков. В ЦОД выстроили проактивную защиту и изолировали бэкапы так, чтобы повторно взломать систему таким же способом было невозможно.

В завершение истории хочу сделать акцент: наличие штата айтишников никак не гарантирует, что данные компании будут в безопасности.

Когда бизнес имеет большой оборот и множество сотрудников, любая поломка вызовет финансовые потери. Если случится атака, данные могут полностью исчезнуть. Причиной проблемы могут стать не только хакеры, но и низкоквалифицированные специалисты или настроенные против компании сотрудники.

Я считаю, что нужны регулярные независимые проверки и взгляд специалистов со стороны, а как думаете вы?

В скором времени планирую провести вебинар о том, как выстроить информационную безопасность в компании и какие ошибки нельзя допустить. Анонс будет в моем телеграм-канале — подпишитесь, чтобы не пропустить. Там же рассказываю о самых интересных случаях и методах защиты бизнеса от атак.

3535
67 комментариев

"крупная компания с миллиардными оборотами из сферы промышленности с большим штатом сотрудников и филиалами по всей России" А Вы как туда попали?
ИТ-директор - "интеллигентный человек, хорошо разбирающегося в сфере, знающий больше меня" Так разбирается или нет, раз все пошло наперекосяк. Фамилию не подскажете ?
"там уже собрались представители «Лаборатории Касперского», начальник местной службы безопасности, юристы." - это какой уровень поддержки, раскажите плз, а то что-то не нашел инфы, что представители лаборатории обязуется приехать и восстанавливать данные. А юристы-то там зачем ?
"даже корпоративные телефоны не функционировали" и АТС судя по всему на windows работала ?
"один из серверов в кластере 1С не зашифрован, то есть осталась база данных, которую мы можем восстановить." так сервер приложений в кластере или база данных?

Сторителлинг такой сторителлинг.

4

Мы туда попали как часть холдинга который занимается аудитом.
Думаю директор, в последствии уволенный, не хотел бы чтобы его фамилию тут указали, мы и компанию указать не можем чтобы не оставить негативный след.
Представители Касперского не обязуются приезжать, но ребята в панике и не зная что делать позвонили им попросить услугу расшифровки данных и сотрудник Каспера уже через пару часов был в офисе.
АТС работала в кластере на виртуальной машине, скажу больше, даже сеть перестала работать т.к. часть маршрутизации и даже банальный DHCP были через windows.
Сервер приложений был в связке с SQL

Хм… странно… «матерые» айтишники боялись что-то сделать, кроме отключения серверов. Какой смысл в таком отделе безопасности?)

2

Не, айтишники и безопасники немного разные роли)
Видать в 2022 побоялись получить зловредные апдейты от зарубежных софтов и потому запретили обновляться.
Теперь это уже прекрасная история для мотивации заказчиков чтобы заказывали аудиты и следовали рекомендациям

1

Как считаете, после таких инцидентов собственникам надо полностью менять айти команду?

Одно из первых предложений от клиента было увольнение всей команды одним днем и переход на аутсорс, но мы убедили этого не делать перейдя в гибридный режим работы на время кризиса. Команду в итоге сильно просеяли, но часть сотрудников ИТ все еще работает и отлично справляются со своими обязанностями. Иными словами не стоит рубить с плеча.

3

Странно что тянули с апдейтами зная о проблемах - думаю тут всю команду надо менять целиком и это будет оправданно.

У меня тоже случай был, однажды в инфраструктуру предприятия тоже попал шифровальщик, вовремя был выявлен инцидент и удалось оперативно купировать заразу. Пострадали только данные на общем диске где в принципе ничего важного не было. Считай что отделались легким испугом.

1