Перейти к содержанию
Сергей Ильин

Searchinform.ru взломали и инфицировали, утечка данных

Recommended Posts

Сергей Ильин

Опубликована информация о взломе ресурсов компании Searchinform

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

Взлом не только сайт, но и компьютеры сотрудников. Благодаря этому злоумышленники овладели более 3000 тыс. конфиденциальными документами.

Интересно также вот это сообщение:

The message on cyberguerrilla.org also has a direct message for the CEO of SearchInform.

Our message to SearchInform.ru – director Ozhegov – you are a bunch of FSB

bastadz – leaking information to all the counterparts and outsiders – you

provide so called CONTUR of Security to main russian corps – and keep

control of all the clients for the SORM needs – nonight – the stars – revolt-

and this is your downfall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Официальный комментарий об этой новости от Льва Матвеева, генерального директора SearchInform

https://www.facebook.com/leo.matveev/posts/637142712988515

Приятно что хакеры нас ставят в один уровенть с рособоронэкспортом и т.д.

Решил опубликовать результаты нашего 2-дневного расследования инциндента " типа взлома" нашей компании хакерами с украинскими ip адресами

----------------------------------------------------------------------

В связи с появившейся информацией о взломе нашей компании, считаем своим долгом поделиться с Вами результатами внутреннего расследования. Проведённая проверка показала:

1. Злоумышленники получили доступ к хостинг-панели провайдера. На этом хостинге находился сайт компании (не был взломан!) и архивные копии внутренней системы компании с данными на начало 2013 года. На сегодняшний день эта система не используется, а информация не является актуальной. Вся информация с начала 2013 года хранится на собственном корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей информацией.

2. На более чем 200 из 300 компьютеров сотрудников компании была проведена массированная атака с украинских IP-адресов. Несмотря на наличие антивирусной защиты как на конечных точках, так и на почтовом сервере, скомпрометированным оказался 1 компьютер линейного менеджера. Вследствие работы политик по разграничению прав доступа, Злоумышленникам же удалось получить доступ лишь к почтовой переписке менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со «свежими датами». Скомпрометированной оказалась некоторая документация по примерно 40 клиентам компании из 1200. На данный момент заражённая машина, а также те, которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети и проходят проверку.

Хотелось бы подчеркнуть, что заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО (равно как и самого ПО) не соответствует действительности.

В качестве подтверждения этих слов и для того, чтобы развеять сомнения наших клиентов в компрометации их корпоративных сетей и ПО SearchInform, предлагаем выполнить следующие действия:

1. Сверить хэш-суммы скачанных архивов с дистрибутивами ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы предоставить хэш-суммы и на более ранние версии ПО по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Также сообщаем, что build-server, отвечающий за формирование версий ПО, находится в изолированной среде без возможности подключения извне. Все компоненты агента EndpointSniffer обладают цифровой подписью, что позволяет удостовериться в их целостности.

2. Также вы можете самостоятельно удостовериться, что «КИБ SearchInform» не пересылает никакие данные за пределы вашей корпоративной сети. Все данные остаются у компании. Никакая информация «третьим лицам» не передаётся. В противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси и ДСТСЗИ СБ Украины. «КИБ SearchInform» работает с чётким перечнем портов. Список портов мы готовы предоставить по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Для проверки отсутствия внешних подключений можно использовать анализаторы трафика низкого уровня (например, с помощью http://www.wireshark.org/).

Мы благодарны злоумышленникам за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя «главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью высказывания не можем согласиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

"Несмотря на наличие

антивирусной защиты как на конечных

точках, так и на почтовом сервере,

скомпрометированным оказался 1

компьютер"

из этих слов я понимаю, что были разосланы вредоносные письма с вложенным подарком. и один нелинейный менеджер его таки словил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

"1. Злоумышленники получили доступ к хостинг-панели провайдера. " - это был доступ к самописной CMS самой компании, никакой CP провайдера ;) Так, ради справедливости ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Даа, все пытался в блогах у них узнать подробности. В ответ только no comments, no comments.

Только стенания, что как так - касперыч не отработал.

Непонятно, как смогли законнектиться за компьютер линейного менеджера? Почему фаервол не отработал?

Непонятно почему вообще сработал левый модуль. Приватный сплоит? Отсутствие белых списков ПО? Информации нет.

В общем никакой практической пользы для ИБ общества от инцидента. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В общем никакой практической пользы для ИБ общества от инцидента.

Подробностей и не будет, к сожалению. Лео в своем комменте перевел акцент с APT, который изначально подразумевался, на взлом второстепенных ресурсов компании. В общем хорошая мина при плохой игре. Но вроде как и не в чем его упрекать. Инцидент такой, что врагу не пожелаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Не знаю. Как-то такая политика умалчивания коробит.

Не говоря уже о многих других оставшихся открытыми вопросов.

Их же обвинили в чуть-ли не в сливах информации из "Контура", на сторону.

Если посмотреть сюда

http://www.cyberwarnews.info/2014/03/12/ru...ed-by-rucyborg/

То видно, что попадаются конфиденциальные документы посторонних компаний (клиентов?). Типа протоколов совета директоров и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×