Добро пожаловать обратно, начинающие кибервоины!
По мере того, как цифровые фронты киберконфликта продолжают расширяться, столкновения перестают быть изолированными. Кампания теперь проникает глубоко во внутреннюю инфраструктуру России. В ходе недавней операции основное внимание было уделено Республике Коми – обширной и малонаселённой территории на крайнем севере. Целью был «Автодор Коми», региональный государственный орган, отвечающий за управление дорогами, мостами и логистической инфраструктурой, обеспечивающей мобильность в этой отдалённой зоне. Это вторжение стало частью более масштабной кампании, охватывающей оккупированные территории Донбасса, центральную часть России и её отдалённые окраины.
«Автодор Коми» играет ключевую роль в обеспечении гражданской деятельности в регионе. Он курирует состояние дорог и мостовых сетей, а также добычу сырья, такого как гравий и песок, критически важного для дорожных работ. Эти предприятия обеспечивают поддержку таких промышленных центров, как Сыктывкар, Воркута и Ухта. Вмешательство в работу подобных учреждений негативно сказывается на административном и операционном потенциале всего региона.
Первоначальный доступ был получен через малоизвестный API-сервис, который был доступен публично в течение многих лет. Плагин в его бэкенд-стеке не был исправлен, что создало критическую точку входа. С помощью специально созданного запроса удалось удалённо выполнить код. После загрузки веб-шелла атака прекратилась до наступления ночи. Затем, используя запланированную задачу, запущенную с повышенными привилегиями, был получен доступ к памяти LSASS. В дампе учётных данных содержалось несколько учётных записей, включая хэш администратора домена.
Антивирусное ПО в системе не работало, что ускорило атаку. После подтверждения доступа администратора домена был использован простой метод сохранения: внедрение было запланировано и внесено в список исключений антивируса. Это гарантировало, что внедрение останется нетронутым даже при последующей повторной активации Microsoft Defender. Примечательно, что во многих российских средах уже установлены опасные разрешительные исключения, иногда охватывающие целые папки, часто оставленные взломанными установщиками ПО и неавторизованными сторонними активаторами.
Сама сеть отражала масштаб развёртывания правительственной системы среднего размера. Не все системы были объединены в домен, многие были настроены независимо, чтобы удовлетворить операционные потребности разрозненных офисов.
Одной из скомпрометированных машин был хост Hyper-V, работающий на нескольких виртуальных машинах. Как правило, хосты Hyper-V — настоящая находка для пентестов, поскольку позволяют отключить диски виртуальных машин и исследовать их. Этот метод доступа знаком студентам, специализирующимся на цифровой криминалистике, и использовался в предыдущих инцидентах для компрометации систем без аутентификации. В данном случае несколько виртуальных машин работали в составе реальной инфраструктуры, включая Docker-контейнеры, российский «продукт сетевой безопасности нового поколения» FORPOST и различные другие экземпляры, образующие сеть.
Системы Linux, если таковые имеются, имеют приоритет для долгосрочного доступа. Они часто не имеют надежной защиты конечных точек, и в подобных средах такие инструменты, как crontab, обеспечивают надежную защиту. Неэффективные методы мониторинга и отсутствие централизованного журналирования позволяют легко оставаться незамеченными. Длительно выполняющиеся задания cron были оснащены запутанной полезной нагрузкой и рандомизированным временем выполнения. Книга « Основы Linux для хакеров » от OTW дает отличное представление о том, как обеспечить защиту с помощью crontab. Если эта часть миссии провалится, вы рискуете потерять все.
После того как горизонтальное перемещение было завершено и привилегии полностью установлены, цель сместилась с доступа на нарушение.
Устаревший файловый сервер был идентифицирован как ценный актив. Он работал под управлением Windows 7 и хранил пять терабайт данных, включая многолетнюю техническую документацию, архивы электронной почты, карты и другие записи. С доступом уровня NT AUTHORITY система была полностью стерта и перезаписана без возможности восстановления.
В другом месте подсети защищённый сервер видеонаблюдения обеспечивал непрерывную передачу данных со строительных площадок. На нём также хранилась внутренняя документация и файлы планирования. Операция была назначена на раннее утро. Когда прибыли местные сотрудники, всё, что осталось, — это чёрный экран.
Виртуальные машины на хосте Hyper-V появились позже. Каждая виртуальная машина была удалена, снимки были очищены, а все данные стали невосстановимыми.
После нейтрализации уровня данных следующим приоритетом стала сетевая магистраль. Офисы «Автодора Коми» активно использовали маршрутизаторы MikroTik для управления внутренними и исходящими коммуникациями. В большинстве подразделений сохранялись стандартные учётные данные, что было постоянной проблемой. Правила брандмауэра были удалены, созданы новые учётные записи администраторов, а внешний доступ ограничен. Более половины станций в регионе остались без интернета. В завершение, стандартный баннер MikroTik заменил главную страницу компании.
К моменту возвращения сотрудников в Сыктывкаре к работе агентство прекратило свою деятельность. Электронная почта не работала. Связь между филиалами была нарушена. Навигационные системы и средства диспетчеризации технического обслуживания были неработоспособны. Файловые хранилища были удалены, а резервные копии маршрутов были либо перезаписаны, либо повреждены. Даже данные GPS-трекинга оказались бесполезны.
Учётные записи администраторов, связанные с операциями по восстановлению, были скомпрометированы, а учётные записи электронной почты изменены. Вторичные подтверждения по номерам мобильных телефонов были заменены контролируемыми данными. Там, где существовали резервные сервисы, они были либо недоступны, либо уже удалены.
Взлом удался благодаря предсказуемым, но зачастую неустранённым сбоям. Первоначальным местом взлома стал неисправный сервис. Недостаточная сегментация, повсеместное повторное использование учётных данных и неактивное антивирусное ПО создали путь в сети. Hyper-V предоставлял доступ к нескольким виртуальным системам, в то время как запущенные Linux-компьютеры обеспечивали стабильную и долгосрочную работу. То, что началось как простая оплошность, переросло в полномасштабное разрушение. Цифровой след целого государственного учреждения был стёрт за одну ночь. На войне инфраструктура — это поле битвы. Здесь дороги могут оставаться, но системы, которые их поддерживают, исчезают.
