Никто не застрахован от утечек данных
Утечки данных не принято считать актуальной угрозой. В медиа часто появляются новости о них — особенно в последние пару лет, но многие организации все равно сомневаются, что их данные в опасности.
Частные беседы и практика расследования инцидентов показывают, что риск утечки недооценивают по трем причинам. Во‑первых, многие организации не считают свои конфиденциальные данные интересными для злоумышленников. Во‑вторых, большинство специалистов, если они не наблюдают постоянно за злоумышленниками, неполно представляют, как протекает инцидент с выгрузкой (эксфильтрацией) информации. Из этого вытекает третья причина: за недостаточной осведомленностью следует уверенность в существующих мерах, которые на деле могут вообще не защищать от атак на конфиденциальные данные.
Мы убеждены, что если организации будут больше информированы, как происходят инциденты с утечками данных, это поможет чаще предотвращать такие случаи. В статье команда BI.ZONE DFIR расскажет об инцидентах с утечками данных: как они проходят, кого касаются, какие меры предосторожности действительно помогут избежать рисков.
При этом никакие средства или меры защиты не дают стопроцентных гарантий. Поэтому в конце статьи мы дадим общие советы, как поступить, если у вас возникло подозрение, что утечка произошла.
Утечка данных — один из самых распространенных типов инцидентов, которые мы фиксируем, наряду с атаками программами‑вымогателями (шифровальщиками).
С 2022 года стало публично известно о десятках компаний, конфиденциальную информацию которых злоумышленники размещали в открытом или закрытом доступе. В их числе есть крупные компании из сфер медиа, фудтеха, финансов и даже вендоры решений в сфере кибербезопасности. В нашей практике за последний год работа с инцидентами, связанными с утечками данных, заняла примерно половину от общего потока задач.
Традиционно атаки, направленные на эксфильтрацию данных, имеют прямой финансовый мотив: злоумышленники сами продают добытые данные на даркнет-площадках или предоставляют информацию отдельным брокерам данных.
С февраля 2022 года атаки на российские организации обрели и деструктивный характер. Так, конфиденциальные данные пользователей множества российских компаний — от крупнейших IT-сервисов до локальных интернет-магазинов — оказывались целиком в публичном доступе. Злоумышленники выкладывают слитые данные, чтобы нанести репутационный ущерб как конкретным компаниям, так и всей российской IT-отрасли.
Вопреки одному из распространенных заблуждений, хактивисты не проявляют избирательность ни в выборе жертвы, ни в выборе выгружаемой информации. Эксфильтрации данных подвергаются документы государственных организаций, клиентские списки из CRM фитнес-клубов и даже репозитории кода небольших компаний, которые и не предполагали, что их данные могут быть кому-то интересны.
На ранних этапах расследования организации часто выдвигают версию об инсайдерской атаке: чувствуется влияние шпионских фильмов. Однако мы можем заверить, что в худшем случае вина сотрудников состоит в недостаточно внимательном отношении к парольной политике или настройке доступа к внутренней сети. Реальные злоумышленники, как правило, работают извне.
По данным портала BI.ZONE Threat Intelligence, за последний год чаще всего встречались атаки с целью эксфильтрации от следующих киберпреступных группировок:
- Rainbow Hyena (Head Mare),
- Guerrilla Hyena («Кибер-Партизаны»),
- Twelfth Hyena (Twelve),
- Hoody Hyena (BO Team),
- Phoenix Hyena (DumpForums).
Проследим, как злоумышленники проходят путь от проникновения в вашу сеть до размещения объявления на даркнет-форумах и в телеграм‑каналах. В последнее время действия атакующих часто похожи.
Типичная атака с эксфильтрацией данных состоит из 6 фаз:
- Рекогносцировка. Группировка оценивает «местность»: исследует публичные данные о компании или сканирует периметр компании на наличие уязвимых сервисов. Во втором случае, как правило, периметр проверяется не целенаправленно, а попадает в выборку автоматизированного сканирования всего интернета.
- Получение первоначального доступа. Злоумышленники используют найденные учетные данные для подключения к системам компании: открытому для глобальной сети хосту, шлюзу входа в виртуальную частную сеть (VPN) или другим корпоративным ресурсам.
- Исследование сети. На этом этапе исследуют информационные системы компании (Confluence, Jira, хелпдеск-системы, в том числе Naumen, и прочие), собирают учетные записи администраторов и сотрудников поддержки, пароли и API-токены для доступа к информации.
- Сбор данных. С помощью полученных на предыдущем этапе учетных записей группировка продвигается к административным системам, выгружает записи из баз данных, информацию с серверов с вики-системами, из планировщиков задач, CRM, репозиториев кода. В некоторых случаях встречаются даже выгрузки целых копий виртуальных машин.
- Обнаружение ключевых систем. Получив первые точки входа, атакующие анализируют инфраструктуру и определяют, какие узлы и сервисы представляют наибольшую ценность. Это могут быть контроллеры домена, системы документооборота, ERP, CRM, базы данных или файловые хранилища. Цель этого шага — понять, где находятся критические данные и через какие сервисы к ним можно получить доступ. Также злоумышленники изучают зависимости между системами и правами пользователей, чтобы спланировать дальнейшее продвижение по сети.
- Эксфильтрация. Атакующие выкачивают собранные данные. Для этого они могут воспользоваться внешними сервисами (файлообменниками, облачными хранилищами) или напрямую выгрузить данные с атакуемого сервера по доступному им протоколу (FTP, RDP и т. д.).
Рассмотрим каждый этап подробнее.
Способ получения первичного доступа к инфраструктуре напрямую связан с тем, каким образом группировка находит новую жертву, как и какие данные удается собрать на ранних этапах атаки. Поэтому первые два фазы опишем вместе.
Чаще всего, по данным BI.ZONE DFIR, злоумышленники проникают в инфраструктуру жертвы двумя способами:
- Используют легитимные учетные записи сотрудников самой организации (в таксономии техник MITRE ATT&CK это называется Credential Access) или ее подрядчиков (Trusted Relationship).
- Эксплуатируют уязвимость сервиса на периметре компании, доступ к которому открыт в интернете (Exploit Public-Facing Application).
Проникновение с помощью легитимных учетных записей
Когда используются легитимные учетные записи, злоумышленники сначала исследуют публичную информацию о компании (или ее подрядчике в случае trusted relationship):
- Ищут профили сотрудников в соцсетях.
- Собирают информацию о паролях из публичных утечек, поскольку люди часто используют одинаковые или похожие пароли для различных сервисов, включая рабочие аккаунты.
- Покупают данные, которые собрали третьи лица с помощью массовых рассылок вредоносного ПО для кражи паролей (стилеров).
Главная цель сбора данных — отыскать слитые пароли к учетным записям или контактные данные сотрудников. Если злоумышленник не находит слитые пароли, но у него есть контакты жертвы, он может атаковать ее напрямую методами социальной инженерии. Как правило, это будет фишинговое письмо с ссылками на подставную страницу входа в корпоративный ресурс или с фейковыми документами, содержащими вредоносный код. Тогда атакующему придется сделать на пути к паролю для аутентификации еще один шаг: собрать нужные данные из зараженной системы.
Получив учетные данные, необходимые для доступа, злоумышленник подключается как легитимный пользователь к сети компании.
Проникновение с помощью уязвимых сервисов
В этом случае злоумышленник сканирует периметр сети жертвы в поисках открытых для внешнего доступа сервисов, у которых есть неисправленные уязвимости. Как правило, они появляются, если организация использует неподдерживаемую версию ПО, что особенно актуально в случае программных продуктов, производители которых ушли из России. Чаще всего такие уязвимости встречаются в почтовых серверах Microsoft Exchange, решениях для резервного копирования (Veeam Backup & Replication, Veritas Backup Exec), VPN-шлюзах и пограничных маршрутизаторах (Fortigate, CISO, Juniper), а также в системах управления сайтами (CMS), таких как Bitrix.
В отдельных случаях «наружу» может быть открыт терминальный сервер или рабочий компьютер на Windows, как правило, для удаленной работы по протоколу RDP. В этом случае атакующие попытаются получить доступ, подобрав к этой системе пароль.
Когда найдена уязвимость, позволяющая удаленно выполнять код, или подобран пароль для доступа по RDP, легко проникнуть в сеть компании.
Попав внутрь периметра, злоумышленник исследует сеть в поисках потенциальных источников информации. Как упоминали выше, атакующих может интересовать все, до чего они доберутся, например:
- корпоративные вики-платформы (Confluence);
- таск-менеджеры (Jira);
- хелпдеск-системы (Naumen и подобные);
- репозитории кода.
В ход идет все. Например, неоднократно встречались случаи, когда атакующие использовали систему DLP, развернутую в сети компании, для сбора конфиденциальных данных с рабочих компьютеров сотрудников.
Это необходимо, чтобы получить учетные записи и пароли к системам, в которых хранятся критические данные, — чаще всего это продуктовые базы данных или репозитории исходного кода. Затем из них выгружают данные, представляющие интерес для злоумышленников.
Чтобы защитить учетные записи, пристальное внимание нужно уделять контурам сети, где разрабатывают или тестируют ПО. В таких контурах требования к безопасности обычно снижены, чтобы упростить доступ и администрирование систем для разработчиков. Однако там могут находится ценные для атакующих данные и системы, с которых можно развить атаку уже в PROD-сегмент. Мы неоднократно встречали кейсы, когда злоумышленники получали конфиденциальные данные компаний именно из контуров разработки или тестирования.
Наибольшую ценность для атакующих имеет информация, которая содержит данные о пользователях сервисов компании, в том числе персональные, репозиториях исходного кода ПО, разрабатываемого компанией, а также данные из систем управления предприятием.
Для хактивистов ценность представляют данные, публикация которых нанесет максимальный репутационный ущерб компании: детали внутренней переписки, конфиденциальные документы (в том числе принадлежащие третьим лицам), информация о слабых местах в системе кибербезопасности и подобные вещи, выставляющие специалистов по кибербезопасности и IT в нелестном свете.
Атакующие хорошо представляют себе устройство инфраструктуры крупных компаний. Мы часто слышим от заказчиков: «Это определенно инсайд, злоумышленники не могли за такое время разобраться в нашей сети». Однако в подобных случаях инсайды встречаются крайне редко, просто у группировок большой опыт в атаках на корпоративные инфраструктуры. Часто киберпреступники лучше разбираются как в архитектуре сетей, так и в используемом ПО, чем сотрудники отделов IT или кибербезопасности компании-жертвы.
Для сбора данных часто используются следующие инструменты и средства: утилиты для работы с базами данных (dBeaver, HeidiSQL), прямой доступ к консолям баз данных (PostgreSQL, MySQL), скрипты собственной разработки для работы с «ручками» API-сервисов компании, встроенная функциональность резервного копирования корпоративных информационных систем.
Обнаружение ключевых систем — один из важных этапов атаки. Получив точку входа, редко действуют вслепую. Они последовательно исследуют инфраструктуру, чтобы определить, где сосредоточены наиболее ценные активы. В первую очередь внимание привлекают контроллеры домена, ERP- и CRM-системы, корпоративные почтовые сервисы, файловые хранилища и базы данных. Все это позволяет напрямую получить доступ к критической информации или может использоваться как трамплин для дальнейшего продвижения по сети.
Атакующие выстраивают карту взаимосвязей:
- какие пользователи обладают повышенными правами,
- какие сервисы связаны между собой,
- какие системы можно использовать для эскалации привилегий.
Часто злоумышленники начинают с анализа журналов, конфигураций и открытых портов, чтобы понять, как устроены каналы взаимодействия между системами. Особый интерес представляют сервисы с устаревшей или неправильно настроенной аутентификацией, а также внутренние API, позволяющие управлять данными без полноценной защиты. В результате формируется детальная картина, на основе которой планируются дальнейшие шаги атаки.
Финальный шаг атаки — выгрузка данных, полученных из критических систем, на внешние ресурсы. Атакующие используют различные способы: как файлообменные сервисы (например, GoFile, MediaFire), так и принадлежащие злоумышленникам VPS. Также они могут напрямую выгружать данные на свои рабочие системы через VPN-сети или Tor. Другой способ выгрузки — специально зарегистрировать свой VPS у российских провайдеров, чтобы не вызывать подозрений при эксфильтрации. Такие соединения обычно меньше привлекают внимания сотрудников кибербезопасности.
На этом этапе атакующие применяют инструменты передачи данных (scp, wget, curl, rsync), которые уже есть в системе, а также внешние средства, например croc. Причем croc считается более надежным, потому что маскируется под легитимный инструментарий, работает, несмотря на ограничения, и дает гарантию доставки данных.
Правильно организовать систему безопасности крупной компании — непростая задача, включающая множество организационных и технических мер. Потребуется внедрить новые процессы, создать новые роли и подразделения.
Дальше разберемся, какие меры позволят с минимальными усилиями снизить вероятность подобных инцидентов.
- Организовать доступ внутрь инфраструктуры компании исключительно через VPN‑подключение и обязательно с двухфакторной аутентификацией (2FA).
- Для доступа использовать второй фактор в виде OTP-кодов или подтверждений по SMS. Мы часто встречали случаи, когда пользователи сохраняли свои сертификаты или ключи/конфигурации VPN в личных сообщениях Telegram или социальных сетях, что небезопасно.
- Запретить прямой доступ по RDP извне, а также не использовать средства проброса портов или незащищенных туннелей внутрь инфраструктуры. В случае необходимости работы по RDP использовать VDI-/терминальные фермы с ограниченными возможностями пользователей.
- Особое внимание уделить контролю доступа к используемой системе виртуализации (VMware ESXi, Microsoft Hyper-V и т. д.): ограничить список IP и учетных записей, которые могут заходить в консоль администрирования.
- Не хранить информацию об учетных записях (как пользовательских, так и служебных, включая API-токены) в открытом виде на корпоративных порталах типа Confluence, SharePoint и т. п.
- Использовать только стойкие пароли, периодически инвентаризировать учетные записи пользователей (особенно привилегированных) и их права доступа, обеспечить процесс своевременной блокировки учетных записей уволившихся сотрудников. Рекомендуем использовать централизованный менеджмент паролей с помощью средств вроде Passwork или Bitwarden.
- Организовать централизованный мониторинг инфраструктур: сетевого периметра, конечных устройств, доступа к базам данных и системам, содержащим критические данные.
- Периодически инвентаризировать системы в сети. Злоумышленники зачастую начинают атаку с систем из тестовых контуров компании, например тех, которые используются для разработки. Такие контуры часто находятся вне поля зрения службы кибербезопасности, а сотрудники, работающие в них (разработчики ПО и др.), обладают максимальными правами пользователей. Большая часть проблем с несанкционированным доступом происходит из-за отсутствия инвентаризации активов: систем, учетных записей и данных.
- Развернуть и настроить средства мониторинга как сетевой активности, так и активности на конечных точках (EDR).
- Применять средства PAM (privileged access management) для контроля и учета использования привилегированных учетных записей.
- Cканировать внешний периметр сети на наличие уязвимостей, а также опубликованных в интернете сервисов — тех, которые должны быть только внутренними, например серверы с RDP, серверы баз данных и т. п.
Эти меры снизят риски утечек данных и других инцидентов.
Вот перечень основных действий, как правильно реагировать на подобный инцидент.
Иногда злоумышленники выдают данные, собранные из публичных источников, как утечку конфиденциальной информации из систем компании, и требуют выкуп за молчание. Поэтому вначале нужно убедиться, что данные, представляемые злоумышленниками или размещенные в публичном доступе, соответствуют по формату и содержанию конфиденциальной информации из внутренних систем компании и не могут быть получены или скомпилированы из открытых источников.
В некоторых случаях (например, при утечке персональных данных) должен быть оповещен Роскомнадзор и другие регуляторы. Если утечка подтверждается и в украденной информации содержатся персональные данные третьих лиц, Роскомнадзор необходимо уведомить не позднее чем через 72 часа после обнаружения инцидента. А в случае если организации является субъектом критической информационной инфраструктуры (КИИ), то уведомлять об инциденте нужно также НКЦКИ (в течение 24 часов).
Если утечка данных подтверждена, вторым шагом будет ее локализация. Необходимо разобраться:
- Из каких систем злоумышленники получили данные.
- Какие учетные записи они использовали для доступа к ним.
- Что можно сделать, чтобы предотвратить утечку.
Наиболее верное решение — обратиться к компании, занимающейся реагированием на инциденты. Например, к нашей команде BI.ZONE DFIR. Немногие организации располагают собственными специалистами DFIR, а без их помощи сложно правильно отреагировать на инцидент. Утечка — внештатная ситуация, и в подобных случаях люди часто паникуют и совершают необдуманные действия: ищут не там, где следует, или занимаются поиском виновных, а не устраняют последствия и причины случившегося. Наличие готовых плейбуков и планов реагирования — привилегия компаний с высоким уровнем зрелости в сфере кибербезопасности.
Мы неоднократно встречали случаи, когда сотрудники IT неправильно реагировали и не закрывали доступ в сеть компании для атакующих. Через некоторое время компания становилась жертвой кибератаки: злоумышленники сливали данные или шифровали инфраструктуру.
Пользователь открыл фишинговое письмо, после чего администратор просто удалил домашнюю папку этого пользователя и счел инцидент решенным. Однако атакующие успели закрепиться на компьютере и проэскалировали привилегии до уровня локального администратора. Буквально через неделю они добились полного контроля над сетью компании.
Крайне важно иметь средства, позволяющие локализовать утечку и определить круг систем, с которых киберпреступники выгрузили данные. В этом помогает логирование информации в системных журналах или логирование запросов к базам данных. Информация, которую необходимо логировать в первую очередь:
- Удаленные подключения пользователей по VPN (с сохранением внутреннего и внешнего IP подключающихся).
- Подключения к базам данных и другим подобным информационным системам компании: репозиториям исходного кода, хранилищам S3 и т. д. (с сохранением IP-адреса и имени подключающегося).
- Внешние соединения на пограничном сетевом оборудовании (в идеальном случае — внутренние соединения в формате Netflow).
Для локализации утечки и активности злоумышленников понадобится собрать все релевантные материалы: журналы сетевых устройств (VPN, NGFW, маршрутизаторов), журналы доступа к веб-серверам и базам данных, артефакты операционных систем, сохраняющих информацию об активности пользователей, и т. д. Эти меры пригодятся команде DFIR, привлеченной к реагированию на инцидент.
При взаимодействии с внешней командой DFIR наиболее важно наладить своевременную и четкую коммуникацию. В первую очередь необходимо предоставить первичную информацию и организовать встречу рабочей группы, чтобы ознакомить специалистов DFIR с инфраструктурой компании. Это позволит выстроить четкий процесс реагирования и выработать первоначальные меры по локализации инцидента: описание основных точек выхода в интернет (пригодится карта сети), используемые средства защиты информации, системы, используемые для критических бизнес‑процессов компании.
Процесс реагирования происходит следующим образом:
- Получение первоначальной информации: какие данные попали к злоумышленникам, что они содержат, на каких системах происходит их обработка и хранение.
- Сбор материалов с систем, имеющих отношение к утекшим данным: триаж-образы, образы виртуальных машин, журналы сетевого оборудования и СЗИ.
- Анализ полученных материалов для выявления активности атакующих, выработка мер по ограничению доступа на основе полученных индикаторов активности атакующих.
- Сбор и анализ материалов из систем, на которых была зафиксирована подозрительная активность, пока вся цепочка (от проникновения внутрь до выгрузки данных) не будет полностью понятна.
- Зачистка инфраструктуры: удаление используемых атакующими инструментов (бэкдоров, средств удаленного управления), смена паролей скомпрометированных пользователей, блокировка IP на периметровых сетевых устройствах.
- Подготовка и реализация базовых мер по защите сети и предотвращению подобных инцидентов.
Не стоит думать, что ваша компания неинтересна атакующим: только они знают, какие цели им важны, а какие нет. Всегда найдутся желающие потренироваться во взломе на вашей инфраструктуре, и неважно, являетесь ли вы небольшим интернет‑магазином или крупной корпорацией.
Очень важно понимать тактики злоумышленников, реализовать базовые, но критически важные меры защиты (в особенности контроль доступа и мониторинг сети, например с помощью BI.ZONE TDR), быть готовыми к реагированию. Это не просто рекомендации, а необходимый минимум, который позволит сохранить конфиденциальность данных, репутацию бизнеса и соблюсти регуляторные требования. Так что сегодня любой компании необходимо постоянно повышать защищенность инфраструктуры и мониторить свою сеть. Лучше сделать больше необходимого и быть уверенными в собственной безопасности.
