Сергей Ильин

Searchinform.ru взломали и инфицировали, утечка данных

В этой теме 7 сообщений

Опубликована информация о взломе ресурсов компании Searchinform

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

Взлом не только сайт, но и компьютеры сотрудников. Благодаря этому злоумышленники овладели более 3000 тыс. конфиденциальными документами.

Интересно также вот это сообщение:

The message on cyberguerrilla.org also has a direct message for the CEO of SearchInform.

Our message to SearchInform.ru – director Ozhegov – you are a bunch of FSB

bastadz – leaking information to all the counterparts and outsiders – you

provide so called CONTUR of Security to main russian corps – and keep

control of all the clients for the SORM needs – nonight – the stars – revolt-

and this is your downfall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Официальный комментарий об этой новости от Льва Матвеева, генерального директора SearchInform

https://www.facebook.com/leo.matveev/posts/637142712988515

Приятно что хакеры нас ставят в один уровенть с рособоронэкспортом и т.д.

Решил опубликовать результаты нашего 2-дневного расследования инциндента " типа взлома" нашей компании хакерами с украинскими ip адресами

----------------------------------------------------------------------

В связи с появившейся информацией о взломе нашей компании, считаем своим долгом поделиться с Вами результатами внутреннего расследования. Проведённая проверка показала:

1. Злоумышленники получили доступ к хостинг-панели провайдера. На этом хостинге находился сайт компании (не был взломан!) и архивные копии внутренней системы компании с данными на начало 2013 года. На сегодняшний день эта система не используется, а информация не является актуальной. Вся информация с начала 2013 года хранится на собственном корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей информацией.

2. На более чем 200 из 300 компьютеров сотрудников компании была проведена массированная атака с украинских IP-адресов. Несмотря на наличие антивирусной защиты как на конечных точках, так и на почтовом сервере, скомпрометированным оказался 1 компьютер линейного менеджера. Вследствие работы политик по разграничению прав доступа, Злоумышленникам же удалось получить доступ лишь к почтовой переписке менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со «свежими датами». Скомпрометированной оказалась некоторая документация по примерно 40 клиентам компании из 1200. На данный момент заражённая машина, а также те, которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети и проходят проверку.

Хотелось бы подчеркнуть, что заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО (равно как и самого ПО) не соответствует действительности.

В качестве подтверждения этих слов и для того, чтобы развеять сомнения наших клиентов в компрометации их корпоративных сетей и ПО SearchInform, предлагаем выполнить следующие действия:

1. Сверить хэш-суммы скачанных архивов с дистрибутивами ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы предоставить хэш-суммы и на более ранние версии ПО по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Также сообщаем, что build-server, отвечающий за формирование версий ПО, находится в изолированной среде без возможности подключения извне. Все компоненты агента EndpointSniffer обладают цифровой подписью, что позволяет удостовериться в их целостности.

2. Также вы можете самостоятельно удостовериться, что «КИБ SearchInform» не пересылает никакие данные за пределы вашей корпоративной сети. Все данные остаются у компании. Никакая информация «третьим лицам» не передаётся. В противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси и ДСТСЗИ СБ Украины. «КИБ SearchInform» работает с чётким перечнем портов. Список портов мы готовы предоставить по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Для проверки отсутствия внешних подключений можно использовать анализаторы трафика низкого уровня (например, с помощью http://www.wireshark.org/).

Мы благодарны злоумышленникам за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя «главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью высказывания не можем согласиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Несмотря на наличие

антивирусной защиты как на конечных

точках, так и на почтовом сервере,

скомпрометированным оказался 1

компьютер"

из этих слов я понимаю, что были разосланы вредоносные письма с вложенным подарком. и один нелинейный менеджер его таки словил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"1. Злоумышленники получили доступ к хостинг-панели провайдера. " - это был доступ к самописной CMS самой компании, никакой CP провайдера ;) Так, ради справедливости ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Даа, все пытался в блогах у них узнать подробности. В ответ только no comments, no comments.

Только стенания, что как так - касперыч не отработал.

Непонятно, как смогли законнектиться за компьютер линейного менеджера? Почему фаервол не отработал?

Непонятно почему вообще сработал левый модуль. Приватный сплоит? Отсутствие белых списков ПО? Информации нет.

В общем никакой практической пользы для ИБ общества от инцидента. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В общем никакой практической пользы для ИБ общества от инцидента.

Подробностей и не будет, к сожалению. Лео в своем комменте перевел акцент с APT, который изначально подразумевался, на взлом второстепенных ресурсов компании. В общем хорошая мина при плохой игре. Но вроде как и не в чем его упрекать. Инцидент такой, что врагу не пожелаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю. Как-то такая политика умалчивания коробит.

Не говоря уже о многих других оставшихся открытыми вопросов.

Их же обвинили в чуть-ли не в сливах информации из "Контура", на сторону.

Если посмотреть сюда

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

То видно, что попадаются конфиденциальные документы посторонних компаний (клиентов?). Типа протоколов совета директоров и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • vitula
      Сделали потрясающие теплые полы у себя в квартире. За это огромное спасибо мастерам компании Монтаж-Эксперт. Данную компанию посоветовали нам знакомые. И мы очень довольны, что обратились именно сюда. Сотрудники компании, быстро и аккуратно установили систему. Порадовали расценки на  услуги, очень выгодные. Порядочная компания. 8(495) 510-94-90 8(926) 438-91-03
    • Ego Dekker
      Антивирусы были обновлены до версии 11.0.159.5.
    • PR55.RP55
      Я говорю о % соотношении. Пример: У пользователя стоял взломанный антивирус > антивирус не помог > пользователь установил взломанный антивирус другой фирмы. Как результат многочисленные установки взломанных продуктов на короткое время. В конце концов такое надоедает. Пользователь, как вы верно заметили, или переходит на работу с бесплатными антивирусами, или покупает платный продукт с гарантированной поддержкой. Часто можно встретить совмещение  Антивирус + бесплатный сканер. Также A.V. компаниями активно применяется стратегия  промо\пробных лицензий, или продаётся три лицензии по цене одной. Много проще даже студентам раз в год скинуться по 500-700 рублей на продукт, чем постоянно рыскать по левым сайтам и искать для себя приключений.  
    • PR55.RP55
      Или вот образ:  http://www.tehnari.ru/f35/t257719/ C:\WINDOWS\MICROSOFT\SVCHOST.EXE Файла даже нет в подозрительных. А в старые добрые времена uVS бы написал: Имя файла слишком похоже на...    
    • b!atnoy
      Тестирование на проникновение с помощью Kali Linux 2.0 не плохая книга, почитайте.