Перейти к содержанию
Сергей Ильин

Searchinform.ru взломали и инфицировали, утечка данных

Recommended Posts

Сергей Ильин

Опубликована информация о взломе ресурсов компании Searchinform

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

Взлом не только сайт, но и компьютеры сотрудников. Благодаря этому злоумышленники овладели более 3000 тыс. конфиденциальными документами.

Интересно также вот это сообщение:

The message on cyberguerrilla.org also has a direct message for the CEO of SearchInform.

Our message to SearchInform.ru – director Ozhegov – you are a bunch of FSB

bastadz – leaking information to all the counterparts and outsiders – you

provide so called CONTUR of Security to main russian corps – and keep

control of all the clients for the SORM needs – nonight – the stars – revolt-

and this is your downfall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Официальный комментарий об этой новости от Льва Матвеева, генерального директора SearchInform

https://www.facebook.com/leo.matveev/posts/637142712988515

Приятно что хакеры нас ставят в один уровенть с рособоронэкспортом и т.д.

Решил опубликовать результаты нашего 2-дневного расследования инциндента " типа взлома" нашей компании хакерами с украинскими ip адресами

----------------------------------------------------------------------

В связи с появившейся информацией о взломе нашей компании, считаем своим долгом поделиться с Вами результатами внутреннего расследования. Проведённая проверка показала:

1. Злоумышленники получили доступ к хостинг-панели провайдера. На этом хостинге находился сайт компании (не был взломан!) и архивные копии внутренней системы компании с данными на начало 2013 года. На сегодняшний день эта система не используется, а информация не является актуальной. Вся информация с начала 2013 года хранится на собственном корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей информацией.

2. На более чем 200 из 300 компьютеров сотрудников компании была проведена массированная атака с украинских IP-адресов. Несмотря на наличие антивирусной защиты как на конечных точках, так и на почтовом сервере, скомпрометированным оказался 1 компьютер линейного менеджера. Вследствие работы политик по разграничению прав доступа, Злоумышленникам же удалось получить доступ лишь к почтовой переписке менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со «свежими датами». Скомпрометированной оказалась некоторая документация по примерно 40 клиентам компании из 1200. На данный момент заражённая машина, а также те, которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети и проходят проверку.

Хотелось бы подчеркнуть, что заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО (равно как и самого ПО) не соответствует действительности.

В качестве подтверждения этих слов и для того, чтобы развеять сомнения наших клиентов в компрометации их корпоративных сетей и ПО SearchInform, предлагаем выполнить следующие действия:

1. Сверить хэш-суммы скачанных архивов с дистрибутивами ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы предоставить хэш-суммы и на более ранние версии ПО по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Также сообщаем, что build-server, отвечающий за формирование версий ПО, находится в изолированной среде без возможности подключения извне. Все компоненты агента EndpointSniffer обладают цифровой подписью, что позволяет удостовериться в их целостности.

2. Также вы можете самостоятельно удостовериться, что «КИБ SearchInform» не пересылает никакие данные за пределы вашей корпоративной сети. Все данные остаются у компании. Никакая информация «третьим лицам» не передаётся. В противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси и ДСТСЗИ СБ Украины. «КИБ SearchInform» работает с чётким перечнем портов. Список портов мы готовы предоставить по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Для проверки отсутствия внешних подключений можно использовать анализаторы трафика низкого уровня (например, с помощью http://www.wireshark.org/).

Мы благодарны злоумышленникам за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя «главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью высказывания не можем согласиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

"Несмотря на наличие

антивирусной защиты как на конечных

точках, так и на почтовом сервере,

скомпрометированным оказался 1

компьютер"

из этих слов я понимаю, что были разосланы вредоносные письма с вложенным подарком. и один нелинейный менеджер его таки словил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

"1. Злоумышленники получили доступ к хостинг-панели провайдера. " - это был доступ к самописной CMS самой компании, никакой CP провайдера ;) Так, ради справедливости ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Даа, все пытался в блогах у них узнать подробности. В ответ только no comments, no comments.

Только стенания, что как так - касперыч не отработал.

Непонятно, как смогли законнектиться за компьютер линейного менеджера? Почему фаервол не отработал?

Непонятно почему вообще сработал левый модуль. Приватный сплоит? Отсутствие белых списков ПО? Информации нет.

В общем никакой практической пользы для ИБ общества от инцидента. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В общем никакой практической пользы для ИБ общества от инцидента.

Подробностей и не будет, к сожалению. Лео в своем комменте перевел акцент с APT, который изначально подразумевался, на взлом второстепенных ресурсов компании. В общем хорошая мина при плохой игре. Но вроде как и не в чем его упрекать. Инцидент такой, что врагу не пожелаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Не знаю. Как-то такая политика умалчивания коробит.

Не говоря уже о многих других оставшихся открытыми вопросов.

Их же обвинили в чуть-ли не в сливах информации из "Контура", на сторону.

Если посмотреть сюда

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

То видно, что попадаются конфиденциальные документы посторонних компаний (клиентов?). Типа протоколов совета директоров и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×