Только расследование, проводимое внутри СДЭК, может показать реальную картину того, как произошёл недавний инцидент. Однако, основываясь на опубликованных в интернете скриншотах и логике кибербезопасности, можно сделать определённые предположения по поводу того, как этот взлом был осуществлён, считает главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.
По всей видимости, злоумышленники воспользовались дырой в удалённом доступе, предположил он. Это мог быть слабый пароль, уязвимость в VPN-устройстве или кража админских данных. Дальше, если учётная запись администратора позволяла, было произведено горизонтальное перемещение по системе и запуск шифровальщика. Возможно, что перед этим взломщики выполнили операцию повышения привилегий.
«Скорее всего, хакеры ещё просканировали всю сеть и могли получить доступ к контроллеру домена. Судя по скриншотам, система резервного копирования работает под управлением ОС Windows. Второй скриншот, видимо, принадлежит рабочему столу одного из администраторов системы. Если ОС регулярно не обновлялись, то запуск шифровальщика был просто делом времени. Имея права уровня администратора хотя бы на одном из серверов, уже можно сделать многое. А если была взломана учётная запись уровня администратора домена, то тогда всё могло пройти ещё быстрее», — поделился наблюдениями Овчинников.
Также, судя по всему, хакеры достаточно быстро прошли ДМЗ-зону, вломились внутрь сети и очень быстро определили, где находится сервер резервного копирования, подключились к нему и успели сделать скриншоты. Тут уже вопрос к тому, какие сетевые анализаторы использовались и использовались ли они вообще, заметил эксперт.
«Конечно, вторым вариантом проведения такого рода атаки могла быть фишинговая атака на системного администратора, но мне кажется, что на неё сумели бы быстро среагировать и не допустить подобных последствий», — считает представитель «Газинформсервиса».
По его мнению, в целом ничего удивительного тут нет: для многих коммерческих компаний подобный поверхностный подход к защите информации является скорее нормальной практикой. Администраторы любят оставлять себе возможность удалённого подключения для быстрого решения проблемы из дома, при этом в компаниях часто пренебрегают минимизацией назначаемых прав и разграничением доступа.
«В целом, можно сделать много предположений, однако, лучше всего дождаться завершения расследования и посмотреть, насколько данная версия будет соответствовать реальному положению», — резюмировал Дмитрий Овчинников.