Как взламывают ваш бизнес — показываю мышление взломщика по шагам

В этой статье расскажу, как с помощью разных способов можно украсть внутреннюю информацию и нарушить процессы любой компании.

Привет! Меня зовут Кирилл Манжура, я CEO IT-интегратора LARD. Мы помогаем бизнесу в разных направлениях: проводим аудиты информационной безопасности, разрабатываем диджитал-продукты и сложные веб-сервисы, оказываем услуги по IT-аутсорсингу.

Атаки на IT-инфраструктуру компаний не только участились, но и стали изощреннее. Хакеры через специальные скрипты получают информацию о домене, используют социальную инженерию и технологии вроде дипфейков, чтобы выманить данные, или удаленно подключаются к запароленным Wi-Fi. Рассказываю, как мыслят и действуют взломщики.

В последние годы российские компании регулярно сталкиваются с хакерскими атаками, чаще всего по одной из двух причин:

Бизнес задело по касательной. Это ситуация, когда взломщики ищут уязвимость среди множества компаний, внезапно обнаруживают ее в вашей инфраструктуре и совершают атаку.
Компания стала жертвой целенаправленной атаки. Взлом могут организовать конкуренты — для этого они обращаются к хакерам. От прицельных атак сложнее защититься: хакеры готовятся дольше и серьезнее. При этом взлом может быть неочевидным — например, конкуренты через доступ к CRM скачивают данные потенциальных клиентов и быстро переманивают их к себе.

Чтобы предотвратить подобные ситуации, компании следят за информационной безопасностью: создают отдел ИБ, приглашают внешних аудиторов или пентестеров. Последние проводят проверку инфраструктуры и пользователей, ищут уязвимости как реальные хакеры. Подходы взломщиков достаточно разнообразны, раскрою самые популярные.

Любой хакер знает, что сбор данных о компании — это важная часть планируемого взлома. Начинают, как правило, с анализа сайта, где зачастую уже много полезной информации: имена и фамилии сотрудников, их почтовые адреса и номера телефонов. Злоумышленники изучают всё, что связано с бизнесом: новости, пресс-релизы, блоги, социальные сети. В слитых на хакерские форумы базах данных ищут логины и пароли от почт сотрудников.

Далее через специальные скрипты получают дополнительные данные о домене сайта. После этого сканируют все найденные IP-адреса. Это кропотливая работа, хакеры собирают всю информацию в открытом доступе, пока это не переходит границы закона.

Если бизнес зарегистрирован как ООО, можно узнать о связи с другими компаниями. А когда на сайте есть раздел «Партнеры», среди них можно найти аффилированные предприятия с общими точками входа. Тогда через взлом периметра одной компании можно получить доступ к данным другой.

Здесь главное — просканировать всю информацию в открытых источниках и найти зацепки: контакты, потенциальные уязвимости.

Чаще всего сотрудники не знают о необходимости соблюдения информационной безопасности компании или она отсутствует в принципе. На это злоумышленники и делают большую ставку. Они получают данные о почтовых адресах сотрудников, партнеров и запускают рассылку. Есть несколько механик, самый простой способ — использовать методы социальной инженерии: позвонить секретарю, представиться клиентом и попросить передать бухгалтеру, что скоро он получит от нас важный счет. У секретаря нет причин не доверять, он передает информацию бухгалтеру, и тот уже ждет наше письмо.

Рассылка готовится грамотно: составляется текст, подделывается почтовый адрес клиента. Бухгалтер ожидает письмо и даже может вытащить его из папки со спамом. Открывает файл-приложение, программа запускается на компьютере и незаметно выгружает всю информацию. Вирус может не просто выгрузить данные, но и создать обратное соединение к серверу хакеров: в этот момент взломщик может работать прямо на устройстве бухгалтера, переводить деньги и шифровать данные.

Конечно, существуют антивирусы и DLP-системы, но часто их недостаточно. По оценке Positive Technologies, количество кибератак на российские организации в I квартале этого года выросло в шесть раз по сравнению с аналогичным периодом 2023-го.

Хакеры могут не только рассылать письма, но и писать в Telegram, звонить, представляться IT-специалистами или техподдержкой и говорить, что для проверки работы нужен доступ к приложению удаленного доступа AnyDesk или логинам и паролям.

Также хакеры сейчас используют и современные технологии вроде ИИ или дипфейков. Например, недавно произошла история, когда с помощью нейросетей два злоумышленника поменяли свою внешность и голос и через скайп убедили компании перевести им 4 млн $. В течение двух дней они представлялись руководителями бизнеса из головного офиса и объясняли, что нужно перевести средства на конкретные счета. В результате убедили сотрудника — даже не начинающего специалиста, а опытного человека.

Вот еще несколько громких кейсов с использованием социальной инженерии:

В 2015 году хакеры из группировки Crackas With Attitude смогли с помощью социальной инженерии получить доступ к почтовому аккаунту директора ЦРУ Джона Бреннана. Позже в интервью New York Post хакер назвался американским школьником. Как выяснилось на суде, взломщик смог более полугода успешно притворяться директором ЦРУ и от его имени выманивать пароли у сотрудников колл-центров и горячих линий.
В 2020 году Twitter-аккаунты Илона Маска, Барака Обамы и других известных личностей стали рассылать однотипные сообщения: «Все биткоины, отправленные на указанный внизу адрес, вернутся в удвоенном количестве! Если пошлете 1000 $, я верну вам 2000 $. Делаю это только следующие 30 минут». Это был один из самых масштабных биткоин-разводов. Хакерами оказались американские школьники, причем выяснилось, что доступ к системе от сотрудников Twitter они смогли получить без помощи инсайдеров, через смесь социальной инженерии и фишинга.

Злоумышленники всегда максимально используют методы социальной инженерии и работы с людьми, через которых можно достать информацию. С точки зрения взломов люди всё-таки остаются самым уязвимым элементом системы.

Кажется, что взлом внешнего периметра — это что-то сложное и маловероятное. Но только не для хакеров. Используя всю собранную информацию, они сканируют связанные с компанией IP-адреса на уязвимости. Существует целый список программ, которые с этим справляются.

Приведу пример: IP-адрес компании — 120.130.140.150. На этом адресе работает весь бизнес. Зная, как работает сеть, мы узнаем, что у адреса есть 65 тысяч портов, и сканируем каждый. Смотрим, открыт ли порт, что на нем находится. Программа проводит обширное сканирование и ищет все доступные службы.

Что можно обнаружить? Например, файлохранилище, сайт, сервер, где бухгалтерия работает, Битрикс, корпоративный портал, доступ к сетевому оборудованию, ВПН и многое другое. У кого-то можно найти две-три службы, где-то 20–30 — чем больше, тем выше риск уязвимости.

Дальше взломщики сравнивают версии ПО, выясняют, есть ли на них публичные уязвимости. Например, у почтового сервиса версия 17.2.2, хакеры проверяют по базе, уязвима она или нет:

Если уязвимостей нет, ищут дальше по другим службам.
Если есть уязвимость, пишут эксплойт или скачивают готовый. Эксплойт — это программа или вредоносный код, которые используют уязвимости в ПО, чтобы хакер мог провести атаку. Злоумышленники находят доступ к одной точке, закрепляются, начинают ломать дальше.

Как правило, когда хакеры взломали одно место, оттуда легче идти дальше, потому что можно проще узнать адреса других служб, логины и пароли.

Интересно, что в сети вышла новость об уязвимостях в системах электронного правительства РФ, которые выявляют через внешний периметр. В 10 системах обнаружили около 100 уязвимостей. Большинство из них не сильно критичны, но сам факт таких исследований показывает большую роль информационной безопасности на государственном уровне.

Задача этого подхода — зацепиться, раскрутить уязвимость или сервер и попасть дальше.

Во внутренних коммуникациях тоже могут скрываться уязвимости, поэтому хакеры добираются до офиса компании и начинают активные поиски.

Wi-Fi. Если у компаний нет мер защиты: авторизации по логину и паролю, корпоративной авторизации или других способов, то взломщики могут подключиться напрямую.

Если авторизация есть, можно подъехать на машине к офису и через хорошую антенну просканировать Wi-Fi с помощью специальных пакетов, выбросить остальных подключенных пользователей и во время их переподключения перехватить ключ. Он зашифрован, хакеры отправляют ключ к себе на сервер или на специальные сервисы и подбирают пароль, при этом скорость подбора может достигать сотни миллионов в секунду. Далее с помощью пароля взломщики авторизуются и ищут уязвимости внутри системы.

Бывают случаи, когда реальные хакеры придумывают новые решения: например, совершают атаку на удаленный от городской инфраструктуры завод, просто взяв квадрокоптер и встроив в него мини-ПК. В нем установлена 4G-симка, через которую хакер подключается и взламывает внутреннюю сеть. При этом сам хакер находится в нескольких километрах и понемногу разбирается, как пробраться дальше к данным.

Из известных кейсов таких взломов — атака на Tesla. В 2016 году китайская хакерская группа взломала Tesla Model S через Wi-Fi. Компания быстро устранила уязвимость, но потом хакеры проделали это снова. Они предлагали водителям подключиться к Wi-Fi, а потом устанавливали вредоносное ПО и получали полный доступ к системам управления.

Локальная сеть. Более сложный вариант — взлом через локальную сеть, для которого требуется доступ к сетевому оборудованию или к компьютерам. Для такого взлома нужно заинтересованное лицо внутри компании — сотрудник, который ради денег или через убеждение готов поделиться доступом, или специально устроенный в бизнес подставной специалист.

Чтобы провести атаку через сеть, нужно получить доступ к ней в офисе компании: вставить специальный переходник в кабель между компьютером и остальной инфраструктурой, который будет собирать данные, или подключиться напрямую к сетевому оборудованию. Копеечное устройство с Aliexpress позволит в реальном времени отслеживать проходящий трафик и перенаправлять его в руки хакеров.

Такой способ позволяет проверить наличие уязвимостей в непосредственной близости к офлайн-пространству бизнеса.

Эти способы чаще всего используют злоумышленники, чтобы исследовать всю инфраструктуру вашей компании, найти уязвимость и поэксплуатировать ее. Поэтому следите за информационной безопасностью: если вы думаете, что бизнес небольшой и вас это не коснется, потом может быть уже поздно.

4 сентября мы в LARD Интегратор проведем открытый вебинар на тему: «Оценка уровня информационной безопасности компании». Поделимся экспертизой в области информационной безопасности и расскажем подробнее, как прямо сейчас хакеры могут атаковать ваш бизнес. Регистрируйтесь по ссылке.

А если у вас есть возможность, привлекайте пентестеров — специалистов, которые заключат с вами договор и безопасно проверят инфраструктуру, чтобы выявить уязвимости. По моему опыту, регулярные проверки от сторонних специалистов — это определенная необходимость в настоящее время. Риски и стоимость точно будут оправданы сохранностью ваших данных и стабильностью работы вашего бизнеса. А что думаете вы?

В работе я ежедневно сталкиваюсь с задачами, которые заставляют задуматься о том, насколько хорошо мы защищены в цифровом мире. О самых интересных случаях и методах защиты бизнеса от атак рассказываю в своем телеграм-канале.