Как украденные пароли дизайнера чуть не угробили стартап [MITRE: T1078 — Valid Accounts]

​Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании.

План реагирования:

1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью).  

2. Блокировка: Отключить учетную запись и сменить все пароли.  

3. Оповещение: Сообщить руководству и проверить, какие данные могли быть украдены. 

4. Проверка: Просмотреть действия злоумышленника в системе.  

5. Усиление: Ограничить доступ по IP и обновить политики паролей.  

6. Расследование: Установить, как данные были украдены (фишинг, утечка).

Кибербезопасность: истории о взломе и защита! Присоединяйся: https://t.me/scontrols

Что может пойти не так:

• Логи не ведутся, и активность не отследить.  

• Администратор не знает, как заблокировать учетную запись.  

• Пароли одинаковые для всех систем, и взлом распространяется.  

• Нет списка, у кого есть доступ к серверам.  

• Уволившийся сотрудник не был удален из системы.  

• Нет инструментов для анализа подозрительной активности.

В офисе стартапа «FutureFlow», разрабатывающего приложение для управления финансами малого бизнеса, кипела жизнь. Разработчики спорили о новых функциях, маркетологи рисовали баннеры, а CEO Лера вдохновляла всех речами о «финтех-революции». Техническая инфраструктура была простенькой: терминал на Windows Server 2012 в подсобке, без антивируса и систем предотвращения вторжений, плюс облачный хостинг для приложения. За ИТ отвечал Дима, системный администратор с пятилетним стажем, больше любивший чинить принтеры, чем копаться в безопасности. «Кому мы нужны? У нас же стартап, а не банк», — отшучивался он, потягивая энергетики.

Ключевым внештатником была Александра, дизайнер на аутсорсе. Она работала на три компании, включая «FutureFlow», создавая логотипы и интерфейсы. Ей настроили RDP-доступ к терминальному серверу через домашний компьютер — без проверок, просто пробросили порт 3389. Александра была талантливой, но в кибербезопасности разбиралась на уровне «выключить и включить». Пароли для всех учёток — в «FutureFlow», других компаниях и личной почте — были одинаковыми: «SashaDesign123». Менеджер паролей? «Зачем, я же всё помню», — смеялась она.

Начало беды

Беда началась вне «FutureFlow». Вечером вторника Александра получила письмо от «IT-отдела» другой компании: «Срочно обновите доступ, срок действия истекает». Ссылка вела на поддельную страницу, копирующую корпоративный портал. Уставшая, она ввела «SashaDesign123» и не заметила, как её данные улетели к хакеру. Через час он сидел на её ноутбуке с Windows 10, который она никогда не выключала. Злоумышленник осмотрелся: в браузере — сохранённые пароли, на рабочем столе — ярлыки RDP к трём компаниям, включая «FutureFlow». Из переписок в мессенджере он понял, что она заканчивает работу к полуночи и не отвечает до утра — в 4:00 её точно не будет у экрана. Джекпот.

Ночь вторжения

В 4:00 утра среды хакер подключился к терминальному серверу «FutureFlow» через RDP с IP из Южной Африки, используя «SashaDesign123». Windows Server 2012 принял его как легитимного пользователя — ни антивируса, ни фильтров по IP не было. Логи тикали, но Дима их не проверял — «места жалко». Злоумышленник действовал тихо: скачал базу данных с 5000 пользователей (имена, телефоны, транзакции) и исходный код приложения. Затем установил бэкдор — скрипт, замаскированный под svchost.exe в C:\Temp, который каждые 30 минут отправлял данные на удалённый сервер. Через мессенджер он разослал от имени Александры сообщение: «Коллеги, гляньте новый макет по ссылке». Ссылка вела на фишинговый сайт, но никто пока не кликнул.

Хакер сливал данные мелкими порциями, подключаясь с разных IP — Африка, Азия, Восточная Европа, — чтобы не вызвать подозрений. Его цель была не вымогательство, а незаметный сбор информации для продажи в даркнете.

Случайное открытие

В пятницу утром разработчик пожаловался Диме, что внутренний трекер задач подвисает. «Опять кривой код», — буркнул Дима и открыл консоль сервера. В Task Manager он заметил svchost.exe, жрущий 20% CPU — бэкдор активно передавал данные. Дима глянул логи подключений и обомлел: входы через RDP в 4 утра среды и четверга с IP из Южной Африки. «Александра? Ей трекер не нужен, она дизайнер! И откуда Африка?» — пробормотал он, роняя банку энергетика.

Он позвонил Александре: «Саш, ты работала в 4 утра из Африки?» Та сонно ответила: «Ты чего? Я в Москве, сплю в это время». Дима побледнел: «Кажется, нас взломали».

Хаос в действии

Дима бросился блокировать учётку Александры в Active Directory, но пароль админа он забыл — пришлось искать записку под клавиатурой. Пока он возился, хакер завершил сессию, оставив бэкдор работать. Дима отключил доступ Александры, но не тронул другие учётки — «не до того». Он вызвал Леру: «Кто-то влез через Сашу!» Лера влетела в подсобку: «Где мои данные?!» Дима показал подозрительный процесс, но без антивируса и логов (хранилось только три дня) он не знал, что украли. Александра на созвоне призналась: «Я ввела пароль в письмо от другой компании… Он у меня везде один». Дима выругался: «Ты серьёзно? Ты нас подставила!»

Последствия

Разработчик кликнул по фишинговой ссылке из мессенджера — его ноутбук заразился, а через него хакер получил ещё больше данных. Утечка базы пользователей попала в даркнет — через неделю клиенты начали жаловаться на спам и мошенничество. Резервные копии были месячной давности, свежие данные частично потеряны. Лера собрала всех: «Мы теряем доверие! Что делать?» Дима закрыл RDP и предложил двухфакторку, но ущерб уже был нанесён.

Через месяц «FutureFlow» потерял 30% аудитории, инвесторы пересмотрели планы финансирования, а репутация пошатнулась. Дима винил Александру, та — его за отсутствие защиты. Лера повесила табличку: «Один пароль — одна беда», но стартап ещё долго оправлялся.

А вы бы заметили?

Один фишинг, одна учётка — и стартап на коленях. Как бы вы защитили свою сеть от такого?

Делитесь в комментариях!